Sicherheit von Resourcepools

rainer042

New Member
Dec 3, 2019
2
0
1
118
Hallo,

ich habe vor Kurzem einen Test-Cluster aus drei Maschinen mit Proxmox VE 6 installiert. Das Interface gefällt mit sehr gut. Das Storage Backend ist ein eigener CEPH-Cluster. Wir möchten Proxmox nutzen, um verschiedenen Arbeitsgruppen die weitgehende Selbtverwaltung von eigenen VMs zu ermöglichen, ohne das eine Gruppe dabei einer anderen Gruppen versehentlich eine VM oder eine Ressource der VM löschen kann. Bisher haben wir das mit XenServer gemacht, was aber bzlg Ceph noch nicht optimal ist.

In Proxmox habe ich hierzu testweise einen Resourcepool eingerichtet, VMs hinzugefügt und Permissions in Form einer Nutzergruppe erteilt. Ein Nutzer dieser Gruppe sieht nun nur die VMs in seinem Pool sowie neue VMs, die er selbst erstellen kann. Das ist genau das was ich möchte.

Da aber Proxmox leider noch keine erasure-coded Ceph-RBD-Pools kennt, als auch keine Ceph Namespaces, kann ich ceph-seitig keine Vorkehrungen treffen, das zwei Arbeitsgruppen sich mit Ihren VMs nicht ins Gehege kommen können. Ursprünglich hatte ich angedacht Namespaces oder eigene RBD-Pools je Arbeitsgruppe einrichten. Beides geht zur Zeit nicht, wenn ich wie geplant erasure-coded RBD-Pools haben will, weil ich das nur mit einer /etc/ceph/ceph.conf auf den Proxmox-Servern schaffe, die eine Konfiguration wie "rbd default data pool = rbd-ecpool" enthält, die dann eben für alle RBD-Pools gilt und den Datenpool eines RBD Pools als "rbd-ecpool" festlegt.

Daher würde ich gerne wissen ob verschiedene Ressource-Pools einen zuverlässigen Schutz erlauben damit eben ein Nutzer aus Resourcepool A nicht in der Lage ist auf Daten (die ja letztlich alle im gleichen Ceph-RBD-Pool liegen) eines Resourcepools B zuzugreifen, VMs oder z.B. VM Platten zu lesen oder gar zu löschen? Der Zugriff der Nutzer erfolgt dabei immer nur über die Web-Schnittstelle.

Vielen Dank im Voraus
Rainer
 

rainer042

New Member
Dec 3, 2019
2
0
1
118
Hallo hitman,

nein das meinte ich nicht. Da gehts ja um das Management von proxmox mit einer von Dir entwickelten Software als Ergänzung zum Standard Webinterface. Im Moment bin ich noch bei der Standard Weboberfläche....

Mir geht es darum ob ein Benutzer mit eben der Standard Proxmox-Weboberfläche irgendwie die Möglichkeit hat aus dem ihm zugewiesenen Resoourcepool "auszubrechen" und Ressourcen eines anderen Pools zu sehen bzw zu nutzen. Dazu zähle ich insbesondere einen Zugriff auf virtuelle VM-Platten die über entsprechende VMs einem anderen ressourcepool zugewiesen sind . Ich kenne Proxmox noch nicht lange und würde gerne wissen ob ein solcher "Ausbruch" irgendwie bekannt oder denkbar ist.
 

hitman

Member
Jan 5, 2018
74
23
8
31
Hallo hitman,

nein das meinte ich nicht. Da gehts ja um das Management von proxmox mit einer von Dir entwickelten Software als Ergänzung zum Standard Webinterface. Im Moment bin ich noch bei der Standard Weboberfläche....

Mir geht es darum ob ein Benutzer mit eben der Standard Proxmox-Weboberfläche irgendwie die Möglichkeit hat aus dem ihm zugewiesenen Resoourcepool "auszubrechen" und Ressourcen eines anderen Pools zu sehen bzw zu nutzen. Dazu zähle ich insbesondere einen Zugriff auf virtuelle VM-Platten die über entsprechende VMs einem anderen ressourcepool zugewiesen sind . Ich kenne Proxmox noch nicht lange und würde gerne wissen ob ein solcher "Ausbruch" irgendwie bekannt oder denkbar ist.
Hallo Rainer,

ich denke da würde ich mir erstmal keine sorgen machen, da ich selbst mit der API und Proxmox GUI auch auf diese zugreift.
Wenn du Benutzer oder einer Gruppe Rechte erteilst wird dies auch so gehalten. Da kann keiner einfach mal so die VM aus dem anderen Pool killen.
https://pve.proxmox.com/pve-docs/api-viewer/
Du kannst unter Datacenter extra Rollen für dich anpassen.

API: /access/acl
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE and Proxmox Mail Gateway. We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get your own in 60 seconds.

Buy now!